云络科技 王寒

 

互联网已经深深融入了人们生活的每一个部分,人们的吃穿住行几乎都会使用到互联网的应用去完成。随着人们与互联网的粘度日益增强,更多的数据和信息也都存在于互联网上。这些信息一方面是个人用户信息,比如银行账户、个人电话、聊天记录等隐私信息;另一方面则是那些对公司业务有价值的数据,比如一些游戏公司的核心代码,一些咨询公司的行业研究分析数据等。正因为这些信息与数据的的重要性,自然而然的也成为了一些利害关系者或者有目的者的攻击对象。那么面对这些潜在风险,我们应该如何应对呢?笔者认为首先应该看清楚我们面对的“敌人”招数,然后再从不同的角度去见招拆招,将攻击一一化解。

 

一、三种常见安全隐患

 

正所谓 “知己知彼,方可百战百胜“,所以我首先总结了目前常见的三种攻击方式,然后在针对这几种攻击方式给予不同维度上的应对措施。这三种攻击方式是:DDOS攻击,数据盗取,以及僵尸网络。DDOS攻击是指通过带宽或者网络的方式耗尽被攻击者的资源,使其系统瘫痪。打个比方,这就好比你开了一家饭店,然后想打击一下你的竞争对手,于是安排了一些人去他们餐厅叫了杯饮料坐了一天,让他们的饭店无法正常待客。数据盗取是指通过技术手段登录到服务器去盗取公司数据。而僵尸网络则是一种辅助攻击手段,即黑客会通过控制个人用户的机器,使其成为僵尸主机,然后通过这个机器再对目标对象发起DDOS等攻击。

security 1

那么面对这些供给形势,我们应该如何应对呢?我建议通过四个层面完成安全的防护,分别是:网路、系统、代码和运维。

 

二、四层安全防护

 

从网络的角度,正如之前提到的一样,主要面临的是DDOS攻击。根据DDOS攻击的形式是对资源的耗尽,所以我们可以通过两个策略去进行防御:首先,第一种是使用第三方工具比如安全宝,他们可以帮助客户完成对攻击流量的过滤,把攻击流量抵挡在外,只让正常的请求进入服务器;第二个方法是增强自己的资源,比如通过使用CDN或者高配置的IDC,来增强自己的资源池,使得DDOS攻击对系统的影响变得很小。

security 2

从系统角度,我们这里主要是使用了防火墙技术。传统的防火墙可以提供基本的过滤比如IP端口和控制登录等,后来又出现了WAF防火墙,即网页应用防火墙。这种技术是基于HTTP层面的对请求进行分析,然后挡住WEB漏洞攻击、SQL注入、XSS跨站、网页爬虫等攻击,也是一种过滤。实现WAF的方法有两种:一种是使用硬件设备比如Palo Alto,或者使用软件/服务的方式比如安全宝,阿里云的云盾。

从代码角度,我们的策略是先写安全的代码,然后对代码进行完善和定期的更新。如何写安全的代码呢?我们建议遵循OWASP项目,这是一个开发的开源项目,在项目中有很多的安全规范的指引,可以帮助开发者写出安全的代码。在写出安全的代码之后,我们还要利用工具去定期扫描代码,如Qualys、安犬,查缺补漏,完善我们的代码。

security 3

最后,是从运维角度去加固安全,而这也经常是大家忽视的部分,但是其实它非常重要。我们都不想“外强中干”,内部的安全也很重要。在运维方面,我们首先要对不同的服务器进行安全的配置比如WEB、APP、DB服务器;其次,在操作系统层面,我们要做好Iptable、权限设置、行为跟踪、补丁升级等工作;在网络方面,我们要使用VPC技术,并做好DDOS防护;同时,对使用云平台的朋友,要主要对云平台的选择,主要用户登录管理,并且避免误操作;此外,还要做好备份,使用安全的工具去监控系统,并且定期对系统做安全审计。

 

三、小结

 

总结下来,安全是非常重要的事,并且越来越重要。保护系统的工具有很多,做好安全有时需要专家的帮助。云络科技作为一家系统运维服务公司,有着丰富的安全防护经验,可以为客户提供一站式的安全咨询服务,帮助您选择合适的安全工具、服务,做好DDOS防护和WAF搭建,指导您写出安全的代码,并且结合我们多年的最佳实践给您最好的运维安全服务。